El Gobierno Central prohíbe aplicaciones que permiten el apagado remoto de e-rickshaws
El gobierno indio ha tomado medidas decisivas al eliminar dos aplicaciones para teléfonos inteligentes de las principales tiendas de aplicaciones, tras informes de que pueden utilizarse para desactivar e-rickshaws de forma remota. Esta medida tiene como objetivo frenar las crecientes amenazas de ciberseguridad dentro del ecosistema de vehículos eléctricos (EV) en rápida expansión en la India.
El auge de los exploits de apagado remoto
La medida de control surge tras la preocupación generalizada provocada por vídeos virales en redes sociales que muestran e-rickshaws quedando inoperables en mitad de su trayecto. La aplicación principal identificada en estos informes es BAT-BMS, una herramienta desarrollada por Shenzhen Grenergy Technology en China. Aunque fue diseñada como una utilidad legítima para monitorizar el estado de la batería, el voltaje y la temperatura, se informa que las funciones de gestión remota de la aplicación han sido utilizadas como un arma.
El exploit permite a los usuarios conectarse de forma inalámbrica a baterías de litio con tecnología Bluetooth dentro de un rango específico. Una vez establecida la conexión, la aplicación puede utilizarse para desactivar la función de descarga de la batería, lo que efectivamente apaga el vehículo y deja a los conductores varados. En varios casos reportados, los conductores de e-rickshaws afirmaron que tuvieron que pagar a desconocidos solo para reiniciar sus vehículos tras ser víctimas de estas interrupciones digitales.
Fallos de seguridad en los sistemas de gestión de baterías económicos
La vulnerabilidad no reside solo en el software, sino también en el hardware utilizado en muchos vehículos eléctricos económicos en toda la India. Funcionarios del gobierno han señalado que un número significativo de e-rickshaws utilizan sistemas de gestión de baterías (BMS) fabricados en China que carecen de protocolos de seguridad robustos.
Estas unidades BMS específicas suelen funcionar sin protección por contraseña ni las capas de autenticación necesarias. Esta falta de "cerraduras digitales" facilita enormemente que cualquier persona cercana con la aplicación BAT-BMS establezca una conexión Bluetooth y manipule la salida de energía. El departamento de transporte del gobierno de Delhi ha recibido la tarea de investigar la autenticidad de estas afirmaciones y evaluar los riesgos que plantea la gestión de baterías mediante Bluetooth.
El Gobierno exige un mayor escrutinio a las tiendas de aplicaciones
En su intervención en la Cumbre de Ciberseguridad de la CII, el secretario de TI, S Krishnan, confirmó que el gobierno ya ha actuado para eliminar las aplicaciones infractoras. Sin embargo, el gobierno no se detiene en la eliminación de las aplicaciones; los funcionarios ahora buscan que los proveedores de plataformas rindan cuentas.
Krishnan enfatizó que las tiendas de aplicaciones deben ejercer niveles mucho más altos de diligencia debida antes de alojar aplicaciones que puedan suponer riesgos físicos o económicos para los ciudadanos. El Gobierno Central tiene la intención de colaborar con los principales operadores de tiendas de aplicaciones para garantizar que el software potencialmente dañino o explotable sea interceptado antes de que llegue al público. Este incidente pone de relieve la necesidad crítica de regulaciones de ciberseguridad estandarizadas en el sector de fabricación de componentes para vehículos eléctricos en la India para prevenir futuras vulnerabilidades.
Conclusiones clave
- Acción inmediata tomada: El Gobierno Central ha eliminado dos aplicaciones, incluida la de origen chino BAT-BMS, de las tiendas de aplicaciones para evitar la desactivación remota de los e-rickshaws.
- Vulnerabilidad del hardware: El problema se deriva de las unidades BMS chinas económicas que carecen de funciones de seguridad esenciales, como la protección por contraseña y la autenticación.
- Impulso regulatorio: El Ministerio de TI está exigiendo un escrutinio más estricto por parte de las tiendas de aplicaciones para evitar la distribución de aplicaciones que puedan ser explotadas para interrumpir la infraestructura física y el transporte.
